Cybervize - Cybersecurity Beratung

RED-Cybersicherheit und der CRA: Übergang und Roadmap

RED (Funkanlagen)CISOProduct Security OfficerCompliance-VerantwortlicheGeschäftsführung HerstellerSupply-Chain-Verantwortliche

Kernaussage

Die Cybersicherheitsanforderungen für Funkanlagen sind kein Endzustand, sondern ein Übergang. Seit dem 1. August 2025 gelten die über die Delegierte Verordnung (EU) 2022/30 aktivierten grundlegenden Anforderungen der Funkanlagenrichtlinie (RED, Richtlinie 2014/53/EU) zu Netzschutz, Datenschutz und Betrugsschutz. Diese Regelung ist ausdrücklich transitorisch: Sie wird zum 11. Dezember 2027 aufgehoben, dem Datum der vollen Geltung des Cyber Resilience Act (CRA, Verordnung (EU) 2024/2847).

Investitionen in RED-Cybersicherheit sind damit keine Sackgasse: Die Cybersicherheitsanforderungen des CRA-Anhangs I decken nach Einschätzung der Kommission alle Elemente der RED-Anforderungen ab. Die Steuerungsfrage lautet nicht "RED oder CRA?", sondern: Wie führen wir ein Produkt ohne Bruch durch das Fenster 2025 bis 2027?

Problem in der Praxis

Viele Hersteller behandeln RED-Cybersicherheit und CRA als zwei getrennte Projekte. Das erzeugt doppelte Arbeit und das Risiko, 2027 ohne anschlussfähige Konformitätsbasis dazustehen.

Ein zweites Problem ist die Verwechslung von Aktivierung und Inhalt. Die Delegierte Verordnung (EU) 2022/30 schafft selbst keine neuen Detailanforderungen; sie schaltet drei bislang ruhende Anforderungen der RED scharf: Artikel 3 Absatz 3 Buchstabe d (Netzschutz), Buchstabe e (Schutz personenbezogener Daten und der Privatsphäre) und Buchstabe f (Betrugsschutz). Was konkret zu tun ist, ergibt sich erst aus diesen Anforderungen in Verbindung mit den harmonisierten Normen der Reihe EN 18031.

Drittens wird die Restriktionslage unterschätzt. Das Anwendungsdatum wurde per Delegierter Verordnung (EU) 2023/2444 vom vorgesehenen 1. August 2024 auf den 1. August 2025 verschoben, da die Normen fehlten. Die Reihe EN 18031-1/-2/-3:2024 wurde über den Durchführungsbeschluss (EU) 2025/138 vom 28. Januar 2025 mit Restriktionen gelistet: Die Vermutungswirkung greift nur, soweit die Einschränkung auf das Produkt nicht zutrifft.

CISO-Einordnung

Aus CISO-Sicht sind RED-Cybersicherheit und CRA dasselbe Anliegen in zwei Gewändern: produktbezogenes EU-Recht zum Inverkehrbringen, durchgesetzt über die CE-Kennzeichnung und primär an den Hersteller gerichtet. Anders als ISMS oder NIS2 sind sie produkt-, nicht organisationsbezogen.

Die Regelung ist als transitorische Brücke einzuordnen: kein paralleles Dauerregime, sondern eine befristete Vorstufe, die zum 11. Dezember 2027 im CRA aufgeht. Die Aufhebung wurde von der Kommission mit Rechtsakt C(2026) 778 final vom 16. Februar 2026 angenommen; die finale Veröffentlichung im Amtsblatt ist zum jetzigen Stand nicht abschließend bestätigt und vor verbindlicher Zitierung gegenzuprüfen. Sicherheitsfähigkeiten wie Authentifizierung, sichere Updates und Resilienz gegen Netz-Missbrauch sollten einmal aufgebaut und beiden Rahmen zugeordnet werden, statt sie zweimal zu erfinden.

Umsetzungsperspektive

Sinnvoll ist eine zweigleisige, aber gemeinsam gesteuerte Roadmap:

  • Phase 1 (bis 10. Dezember 2027): Funkanlagen, die in diesem Fenster in Verkehr gebracht werden, müssen die über die Delegierte Verordnung (EU) 2022/30 aktivierten RED-Cybersicherheitsanforderungen erfüllen; Prüfung durch die Marktüberwachung.
  • Phase 2 (ab 11. Dezember 2027): Für Produkte mit digitalen Elementen, einschließlich Funkanlagen, richtet sich die Cybersicherheit nach dem CRA.

Für die Konformitätsbewertung gilt die RED-Mechanik: Wendet der Hersteller die harmonisierten Normen vollständig an, greift die Vermutungswirkung und meist genügt die interne Fertigungskontrolle als Selbstbewertung; bei Normabweichung oder greifender Listungs-Restriktion kann eine benannte Stelle erforderlich werden. Nachweise sollten produkt- und versionsbezogen so geführt werden, dass sie die RED-Phase belegen und CRA-anschlussfähig sind.

Typische Fehler

  1. RED und CRA werden als getrennte Projekte geführt, statt als zwei Phasen einer Roadmap.
  2. Die Aufhebung zum 11. Dezember 2027 wird als Wegfall der Pflichten missverstanden, obwohl der CRA nahtlos anschließt.
  3. Die Listungs-Restriktionen der EN 18031 werden übersehen, sodass eine nicht greifende Vermutungswirkung angenommen wird.
  4. Nachweise werden nur für die RED-Phase erstellt und sind später nicht CRA-anschlussfähig.
  5. Die Produktklassen-Zuordnung nach Artikel 1 der Delegierten Verordnung wird ungenau vorgenommen.

Risiken und Trade-offs

Wer zu früh nur auf den CRA setzt, riskiert in der laufenden RED-Phase Marktüberwachungsbeanstandungen, weil bis zum 10. Dezember 2027 die RED-Cybersicherheitsanforderungen maßgeblich bleiben; auch nach der Aufhebung bleibt eine Durchsetzung für in diesem Fenster in Verkehr gebrachte Produkte möglich. Wer umgekehrt nur die RED-Phase optimiert, baut Nachweise, die später aufwendig auf CRA-Logik umgestellt werden müssen.

Ein weiteres Risiko ist die Rahmenverwechslung. In Deutschland setzt das Funkanlagengesetz (FuAG) die RED um; Marktüberwachungsbehörde für Funkanlagen ist die Bundesnetzagentur in ihrer produktrechtlichen Rolle. Das ist nicht mit NIS2- oder KRITIS-Sektoraufsicht zu verwechseln.

Entscheidungspunkte

  • Welche Produkte fallen unter welche Klasse der Delegierten Verordnung (EU) 2022/30, und welche Anforderung (d, e oder f) greift jeweils?
  • Bauen wir Sicherheits- und Nachweisprozesse einmal CRA-anschlussfähig auf, oder führen wir RED und CRA getrennt?
  • Für welche Produkte reicht die interne Fertigungskontrolle, und wo ist eine benannte Stelle einzuplanen?
  • Wie behandeln wir Produkte mit langer Lebensdauer, die über den 11. Dezember 2027 hinaus im Markt bleiben?

Praktische Empfehlungen

  1. Erstellen Sie eine Produktklassen-Matrix: je Produkt die RED-Klasse, die aktivierte Anforderung und die spätere CRA-Einordnung.
  2. Definieren Sie Sicherheitsfähigkeiten technologieneutral und ordnen Sie sie beiden Rahmen zu.
  3. Prüfen Sie je Produkt, ob eine Listungs-Restriktion der EN 18031 greift, und planen Sie dort den Konformitätsweg bewusst.
  4. Führen Sie Schwachstellen- und Update-Prozesse so, dass sie die RED-Phase belegen und CRA-anschlussfähig sind.
  5. Verankern Sie einen Stichtag-Review vor dem 11. Dezember 2027 und verfolgen Sie die Veröffentlichung der aufhebenden Verordnung.

Relevante Normreferenzen

  • Delegierte Verordnung (EU) 2022/30, ABl. L 7 vom 12.1.2022: aktiviert Artikel 3 Absatz 3 Buchstaben d, e und f der RED. Frei mit Quellenangabe zitierbar.
  • Richtlinie 2014/53/EU (RED): Parent-Richtlinie zur Bereitstellung von Funkanlagen.
  • Delegierte Verordnung (EU) 2023/2444: Verschiebung des Anwendungsdatums um zwölf Monate.
  • Durchführungsbeschluss (EU) 2025/138 vom 28.1.2025: Listung der Reihe EN 18031 mit Restriktionen.
  • Verordnung (EU) 2024/2847 (CRA): maßgeblich für Produkte mit digitalen Elementen ab voller Geltung.
  • EN 18031-1/-2/-3:2024 (CEN/CENELEC): nur als Referenz, keine Volltexte oder Anforderungslisten (lizenzpflichtig).

Häufige Fragen

Verschwinden die RED-Cybersicherheitspflichten mit der Aufhebung 2027?+

Nein. Die Delegierte Verordnung (EU) 2022/30 wird zum 11. Dezember 2027 aufgehoben, aber der CRA schließt nahtlos an; für bis zum 10. Dezember 2027 in Verkehr gebrachte Produkte bleibt eine Durchsetzung möglich.

Warum wird die RED-Cybersicherheitsregelung aufgehoben?+

Weil die Cybersicherheitsanforderungen des CRA-Anhangs I nach Einschätzung der Kommission die RED-Anforderungen abdecken; die Aufhebung vermeidet Doppelregulierung.

Gilt mit der EN 18031 automatisch die Vermutungswirkung?+

Nicht uneingeschränkt. Die Listung über den Durchführungsbeschluss (EU) 2025/138 erfolgte mit Restriktionen; die Vermutungswirkung greift nur, soweit die Restriktion auf das Produkt nicht zutrifft.

Vom Wissen zur Umsetzung

Die Cybervize-Plattform und unsere Beratung setzen RED (Funkanlagen) prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.

Passende Leistung ansehen

Verwandte Artikel

Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: red-004.